2.h3cse實(shí)驗(yàn)手冊(cè)dl ip指導(dǎo)書issue1_第1頁
2.h3cse實(shí)驗(yàn)手冊(cè)dl ip指導(dǎo)書issue1_第2頁
2.h3cse實(shí)驗(yàn)手冊(cè)dl ip指導(dǎo)書issue1_第3頁
2.h3cse實(shí)驗(yàn)手冊(cè)dl ip指導(dǎo)書issue1_第4頁
2.h3cse實(shí)驗(yàn)手冊(cè)dl ip指導(dǎo)書issue1_第5頁
已閱讀5頁,還剩22頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、目 錄課程說明1實(shí)驗(yàn)說明1版本說明1實(shí)驗(yàn)?zāi)康?實(shí)驗(yàn)任務(wù)1相關(guān)資料1第 1 章 L2TP 配置指導(dǎo)2組網(wǎng)及業(yè)務(wù)描述2命令行列表2配置流程圖4配置步驟4結(jié)果驗(yàn)證4FAQ6附加任務(wù)7配置參考7第 2 章 GRE 配置指導(dǎo)9組網(wǎng)及業(yè)務(wù)描述9命令行列表9配置流程圖10配置步驟10結(jié)果驗(yàn)證11FAQ13配置參考13第 3 章 IPSec 配置指導(dǎo)16組網(wǎng)及業(yè)務(wù)描述16命令行列表16配置流程圖19配置步驟20結(jié)果驗(yàn)證21FAQ22附加任務(wù)23配置參考23課程說明實(shí)驗(yàn)說明本實(shí)驗(yàn)指導(dǎo)書本主要介紹了 IP程,涵蓋了當(dāng)前的主要二/三層里各協(xié)議的基本業(yè)務(wù)配置方法及配置流技術(shù),相信您能通過本指導(dǎo)書了解基本的IP業(yè)務(wù)的配

2、置方法及配置流程。版本說明本指導(dǎo)書適用于 VRP 版本 3.30,RELEASE 0008, VRP 版本 3.40,RELEASE0108 與 VRP 版本 5.10,RELEASE 0039實(shí)驗(yàn)?zāi)康牧私?IP掌握 IP熟悉 IP的基本原理的配置流程的配置命令實(shí)驗(yàn)任務(wù)配置 L2TP配置 GRE配置 IPSec相關(guān)資料VRP3.30 操作手冊(cè) VRP3.30 命令手冊(cè) VRP3.40 操作手冊(cè) VRP3.40 命令手冊(cè) VRP5.10 操作手冊(cè)VRP5.10 命令手冊(cè)第1章 L2TP 配置指導(dǎo)組網(wǎng)及業(yè)務(wù)描述1.1圖1-1路由器 RTA 與 RTD 通過 Serial 口相連,鏈路層封裝 PPP

3、。RTA 與 RTD相連的接口配置發(fā)送 PPP 認(rèn)證信息,并配置 IP 地址為 ppp-negotiate; RTD 與 RTA 相連的接口配置 PPP 認(rèn)證。RTA 設(shè)備上連接 RTD 的接口必須為 PPP 鏈路,主要是通過 PPP 鏈路特點(diǎn),實(shí)現(xiàn)發(fā)送用戶名與其中 RTA 與 RTC 的 Lo。ack 地址作為私有網(wǎng)絡(luò)進(jìn)行相互1.2命令行列表表1-1操作版本命令使能 L2TPVRP 3.30VRP 3.40l2tp enableVRP 5.10l2tp enable創(chuàng)建 L2TP 組VRP 3.30VRP 3.40l2tp-group group-numberVRP 5.10l2tp-gro

4、up group-number設(shè)置本端隧道名稱VRP 3.30VRP 3.40tunnel name nameVRP 5.10tunnel name name配置發(fā)起 L2TP 連接請(qǐng)求VRP 3.30start l2tp ip.X ip.X ip.X . 1.3 配置流程圖操作版本命令的觸發(fā)條件及LNS 地址VRP 3.40-name | fullusernameuser-name VRP 5.10start l2tp ip.X ip.X ip.X . -name | fullusernameuser-name 設(shè)置通道對(duì)端的名稱VRP 3.30VRP 3.40allow l2tp virt

5、ual-template virtual-template-number remote remote-name -name VRP 5.10allow l2tp virtual-template virtual-template-number remote remote-name -name 啟用隧道驗(yàn)證VRP 3.30VRP 3.40tunnel authenticationVRP 5.10tunnel authentication設(shè)置隧道驗(yàn)證的VRP 3.30VRP 3.40tunnel password simple | cipher passwordVRP 5.10tunnel pas

6、sword simple | cipher password設(shè)置用戶名及VRP 3.30local-user username password simple | cipher passwordVRP 3.40local-user usernamepassword simple | cipher passwordVRP 5.10local-user username password simple | cipher password圖1-21.4配置步驟(1)激活 L2TP在系統(tǒng)視圖下,激活 L2TP;(2)創(chuàng)建 L2TP 組在系統(tǒng)視圖下,創(chuàng)建 L2TP 組;(3)配置 LAC在 LAC 設(shè)備

7、下,進(jìn)入 L2TP 組視圖下,配置發(fā)起 L2TP 連接請(qǐng)求的觸發(fā)條件及 LNS 地址,并根據(jù)需求配置額外功能;(4)配置 LNS在 LNS 設(shè)備下,進(jìn)入 L2TP 組視圖下,配置通道對(duì)端的名稱,并根據(jù)需求配置額外功能; 說明:其中 RTA 與 RTC 的私有網(wǎng)絡(luò)相互的路由信息。需要時(shí)由器都需要到達(dá)遠(yuǎn)端私網(wǎng)1.5結(jié)果驗(yàn)證(1)display l2tp tunnel/display l2tp ses立了一條 Tunnel;查看 l2tp 連接信息,可以看到建RTDdisplay l2tp tunnel激活 L2TP創(chuàng)建 L2TP 組配置 LAC配置 LNSLocalTID RemoteTID Re

8、moteAddressPort 1701Ses 1s RemoteName RTC1110.2.2.1Total tunnel = 1RTDdisplay l2tp sesLocalSID RemoteSID LocalTID29326112361Total ses= 1(2)通過display地址;erfaerial 2/0 路由器端口是否成功獲取 LNS 分配的IPRTAdisplayerfaerial2/0Serial2/0 current se :UPLine protocol current se :UPDescription : Serial2/0erfaceTheum Trans

9、mit Unit is 1500, Hold timer is 10(sec)ernetwork Address is negotiated, 100.1.1.2/32Link layrotocol is PPPLCP opened, IPCP openedOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0 Output queue : (Protocol queue : Size/Length/Discards) 0/500/0 Output queue : (FIFO queuing : Size/Length/Disca

10、rds) 0/75/0 Physical layer is synchronous,Baudrate is 64000 bpserface is DCE, Cable type is V35Last 300 seconds input rate 4.11 bytes/sec, 0.22 packets/secLast 300 seconds output rate 4.21 bytes/sec, 0.22 packets/secInput: 1045 packets, 13286 bytes0 broadcasts, 0 multicasts0 errors, 0 runts, 0 giant

11、s0 CRC, 0 align errors, 0 overruns0 dribbles, 0 aborts, 0 no buffers0 frame errors Output:1162 packets, 16432 bytes0 errors, 0 underruns, 0 colli0 deferredDTR=UP DSR=UP RTS=UP CTS=UPsDCD=UP(3)遠(yuǎn)端隧道端口的 IP 地址,檢測(cè)隧道連通性;RTA100.1.1.1100.1.1.1: 56 data bytes, press CTRL_C to breakReply from 100.1.1.1: bytes

12、=56 Sequence=1 ttl=255 time=29 ms Reply from 100.1.1.1: bytes=56 Sequence=2 ttl=255 time=30 ms Reply from 100.1.1.1: bytes=56 Sequence=3 ttl=255 time=28 ms Reply from 100.1.1.1: bytes=56 Sequence=4 ttl=255 time=28 ms Reply from 100.1.1.1: bytes=56 Sequence=5 ttl=255 time=29 ms- 100.1.1.1sistics -5 p

13、acket(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 28/28/30 ms1.6FAQQ:組網(wǎng)圖里出現(xiàn) LAC 與 LNS,這兩個(gè)設(shè)備是 L2TP 技術(shù)非常重要的兩個(gè)設(shè)備,請(qǐng)問這兩個(gè)設(shè)備的功能是什么?A:LAC 表示 L2TP集中器(L2TP Acs Concentrator),是附屬在交換網(wǎng)絡(luò)上的具有 PPP 端系統(tǒng)和 L2TP 協(xié)議處理能力的設(shè)備。LNS 表示 L2TP網(wǎng)絡(luò)服務(wù)器(L2TP Network Server),是 PPP 端系統(tǒng)上用于處理 L2TP 協(xié)議服務(wù)器端的設(shè)備

14、。LAC 一般是一個(gè)網(wǎng)絡(luò)接入服務(wù)器 NAS,通過 PSTN/ISDN 網(wǎng)絡(luò)為用戶提供接入服務(wù)。LAC 位于 LNS 和遠(yuǎn)端系統(tǒng)(遠(yuǎn)地用戶和遠(yuǎn)地分支機(jī)構(gòu))之間,把從遠(yuǎn)端系統(tǒng)收到的信息包按照 L2TP 協(xié)議封裝并送往 LNS,將從 LNS 收到的信息解封裝并送往遠(yuǎn)端系統(tǒng)。LAC 與遠(yuǎn)端系統(tǒng)之間可以采用本地連接或 PPP 鏈路,VPDN 應(yīng)用中通常為PPP 鏈路。LNS 作為 L2TP 隧道的另一側(cè)端點(diǎn),是 LAC 的對(duì)端設(shè)備,是被 LAC進(jìn)行隧道傳輸?shù)?PPP 會(huì)話的邏輯終止端點(diǎn)。Q:L2TP 是基于什么協(xié)議來傳輸數(shù)據(jù)?端是什么?A:L2TP 數(shù)據(jù)以 UDP 報(bào)文的形式發(fā)送。L2TP了 UDP 1

15、701 端口,但這個(gè)端口僅用于初始的隧道建立過程中。L2TP 隧道發(fā)起方任選一個(gè)空閑的端口(未必是 1701)向接收方的 1701 端口發(fā)送報(bào)文;接收方收到報(bào)文后,也任選一個(gè)空閑的端口(未必是 1701),給發(fā)送方的指定端口回送報(bào)文。至此,雙方的端口選定,并在隧道保持連通的時(shí)間段內(nèi)不再改變。Q:請(qǐng)簡(jiǎn)單描述隧道與會(huì)話之間的關(guān)系?A:在一個(gè) LNS 和 LAC 對(duì)之間存在著兩種類型的連接,一種是隧道(Tunnel)連接,它定義了一個(gè) LNS 和 LAC 對(duì);另一種是會(huì)話(Ses)連接,它復(fù)用在隧道連接之上,用于表示承載在隧道連接中的每個(gè) PPP 會(huì)話過程。同一對(duì) LAC 和 LNS 之間可以建立多

16、個(gè) L2TP 隧道,隧道由一個(gè)控制連接和一個(gè)或多個(gè)會(huì)話(Ses)組成。會(huì)話連接必須在隧道建立(包括保護(hù)、L2TP 版本、幀類型、硬件傳輸類型等信息的交換)成功之后進(jìn)行,每個(gè)會(huì)話連接對(duì)應(yīng)于 LAC 和 LNS 之間的一個(gè) PPP 數(shù)據(jù)流??刂葡⒑?PPP 數(shù)據(jù)報(bào)文都在隧道上傳輸。L2TP 使用o 報(bào)文來檢測(cè)隧道的連通性。LAC 和 LNS 定時(shí)端發(fā)送o 報(bào)文,若在一段時(shí)間收到o 報(bào)文的應(yīng)答,該會(huì)話將被清除。1.7 附加任務(wù)L2TP 是 VPDN 里的其中一種,它通過 LAC 撥號(hào)的方式來建立隧道,LAC 可以是路由器,也可以是終端設(shè)備,如 PC。請(qǐng)嘗試用 PC 設(shè)備作為 LAC 撥號(hào)與LNS

17、建立隧道。配置參考1.81.8.1端口配置1. 配置 RTAsystem-viewRTAerfaerial 2/0RTA-Serial2/0ip address ppp-negotiate2. 配置 RTDsystem-viewRTDerfaerial 2/0RTD-Ethernet0/0ip address 10.2.2.2 255.255.255.2523. 配置 RTCsystem-viewRTCerface ethernet 0/0RTC-Ethernet0/0ip address 10.2.2.1 255.255.255.252RTCerface Virtual-Template 0

18、RTC-Virtual-Template0ip address 100.1.1.1 255.255.255.01.8.2L2TP 配置1. 配置 RTA(1)發(fā)送用戶名及RTA-Serial2/0ppp chap user vpdnuser RTA-Serial2/0ppp chap password simple2. 配置 RTD(1)設(shè)置本地用戶數(shù)據(jù)庫RTDlocal-user vpdnusassword simple(2)配置認(rèn)證方法RTD-Serial2/0ppp authentication-mode chap(3)配置 LACRTDl2tp enable RTDl2tp-group

19、 100RTD-l2tp100start l2tp ip 10.2.2.1 fullusername vpdnuser RTD-l2tp100tunnel password simple l2tp 說明:默認(rèn)的情況下,隧道認(rèn)證是被打開的。也就是說在隧道認(rèn)證功能被打開的情況下需配置 LAC 與 LNS 雙方一致的;在這里 LAC 隧道名的配置是可選的,因?yàn)樵谀J(rèn)的情況下采用路由器本身的名字,即:RTD3. 配置 RTC(1)設(shè)置本地用戶數(shù)據(jù)庫RTClocal-user vpdnusassword simple(2)創(chuàng)建地址池Quidway-systemip pool 0 100.1.1.2 10

20、0.1.1.100(3)配置 virtual-template 端口RTCerface Virtual-Template 0RTC-Virtual-Template0ppp authentication-mode chap RTC-Virtual-Template0remote address pool 0(4)配置 LNSRTCl2tp enable RTCl2tp-group 100RTC-l2tp100tunnel password simple l2tpRTC-l2tp100allow l2tp virtual-template 0 remote RTD(5)重啟 RTA 的 Seri

21、al2/0 和 RTD 的 Serial2/0RTA-Serial2/0shutdownRTA-Serial2/0undo shutdownRTD-Serial2/0shutdownRTD-Serial2/0undo shutdown 說明:在這里L(fēng)AC 隧道名的配置必需與 LAC 的隧道名一致才能建立隧道,LAC與 LNS 在默認(rèn)的情況下都采用路由器本身的名字,這可以通過人工手動(dòng)更改;第2章 GRE 配置指導(dǎo)2.1組網(wǎng)及業(yè)務(wù)描述圖2-1RTA、RTB、RTC 屬于骨干網(wǎng),它們之間運(yùn)行 OSPF。RTA 和RTC 之間使用三層隧道協(xié)議GRE,實(shí)現(xiàn)RTA 和RTC 的Lo之間互聯(lián)。當(dāng)隧道建立以后

22、,配置 Tunnel 的路由ack2.2命令行列表表2-1操作版本命令創(chuàng)建 Tunnel 接口VRP 3.30VRP 3.40erface tunnelerface-numberVRP 5.10erface tunnelerface-number配置隧道接口供 GRE 或CRLSP 隧道使用VRP 3.30VRP 3.40tunnel-protocol greVRP 5.10tunnel-protocol gre設(shè)置 Tunnel 接口的源端地址VRP 3.30VRP 3.40source ip-address |erface-type erface-number VRP 5.10source

23、 ip-address |erface-type erface-number 設(shè)置 Tunnel 接口的目的VRP 3.30destination ip-address 說明:當(dāng)在分布式設(shè)備上創(chuàng)建 Tunnel 接口時(shí),建議 Tunnel 接口的槽號(hào)與所設(shè)置的源端接口所在槽位保持一致,即,使用發(fā)出 GRE 報(bào)文的實(shí)際接口的槽位號(hào),這樣可以提高轉(zhuǎn)發(fā)效率。2.3配置流程圖圖2-2配置步驟2.4(1)創(chuàng)建 Tunnel 端口,產(chǎn)設(shè)置 IP 地址在邊緣設(shè)備上,如 RTA 與 RTC 的系統(tǒng)視圖下,創(chuàng)建 Tunnel 端口,并設(shè)置Tunnel 端口的 IP 地址;創(chuàng)建 Tunnel 端口,并設(shè)置 IP

24、地址指定源端地址指定目的地址配置Tunnel 的路由操作版本命令端地址VRP 3.40VRP 5.10destination ip-address配置靜態(tài)路由VRP 3.30VRP 3.40ip route-sic destination-ip-address mask | mask-length tunneltunnel-numberVRP 5.10ip route-sic destination-ip-address mask | mask-length tunneltunnel-number(2)指定源端地址RTA 與 RTC 上都分別需要指定源端地址,即發(fā)出 GRE 報(bào)文的實(shí)際物理接口

25、IP 地址;在 Tunnel 端口視圖下配置該命令;(3)指定目的地址RTA 與 RTC 上都分別需要指定目的地址,即接收 GRE 報(bào)文的實(shí)際物理接口IP 地址; 在 Tunnel 端口視圖下配置該命令;(4)配置 Tunnel 的路由在 RTA 上設(shè)置一條到達(dá) RTC 私網(wǎng)的靜態(tài)路由,下一跳為遠(yuǎn)端的 Tunnel 地址;在 RTC 上設(shè)置一條到達(dá) RTA 私網(wǎng)的靜態(tài)路由,下一跳為遠(yuǎn)端的 Tunnel 地址;2.5結(jié)果驗(yàn)證(1)在 RTA 上通過 displayerface tunnel 0 查看 GRE 隧道端口信息RTAdisplayerface Tunnel 0Tunnel0 curre

26、nt se :UPLine protocol current s Description : Tunnel0e :UPerfaceTheum Transmit Unit is 64000ernetwork Address is 100.1.1.1/30Encapsulation is TUNNEL, loack not setTunnel source 10.1.1.1, destination 192.2.2.1 Tunnel keepalive disableTunnel protocol/transport GRE/IP, key disabled Checksumming of pac

27、kets disabledLast 300 seconds input: 0 bytes/sec, 0 packets/secLast 300 seconds output: 0 bytes/sec, 0 packets/sec0 packets input, 0 bytes0 input error0 packets output, 0 bytes0 output error(2)可以用 tracert 測(cè)試 tunnel 是否可用,可以看到 tracert 3.3.3.3 時(shí),使用的是 tunnel 傳輸數(shù)據(jù)包。Rracert 192.2.2.1traceroute to 192.2.2.

28、1(192.2.2.1) 30 hops max,40 bytes packet 1 10.1.1.2 10 ms 1 ms 1 ms2 192.2.2.1 20 ms 18 ms 18 ms192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=255 time=35 ms*0.2640441 R*0.2640442UNNEL/8/debug:Tunnel0-Out: Mbuf length = 84 from GRE Tunnel outRTATUNNEL/8/debug:Tunnel0-Out:GRE/IPenca

29、psulated10.1.1.1-192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=2 ttl=255 time=34 ms*0.2640481 R*0.2640481UNNEL/8/debug:Tunnel0-Out: Mbuf length = 84 from GRE Tunnel outRTATUNNEL/8/debug:Tunnel0-Out:GRE/IPencapsulated10.1.1.1-192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=3 t

30、tl=255 time=35 ms*0.2640521 R*0.2640522UNNEL/8/debug:Tunnel0-Out: Mbuf length = 84 from GRE Tunnel outRTATUNNEL/8/debug:Tunnel0-Out:GRE/IPencapsulated10.1.1.1-192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=4 ttl=255 time=35 ms*0.2640561 R*0.2640561UNNEL/8/debug:Tunnel0-Out: Mbuf length =

31、 84 from GRE Tunnel outRTATUNNEL/8/debug:Tunnel0-Out:GRE/IPencapsulated10.1.1.1-192.2.2.1(len = 108).Reply from 3.3.3.3: bytes=56 Sequence=5 ttl=255 time=35 ms- 3.3.3.3sistics -5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 34/34/35 ms 說明:注:以上是在 debugging tunnel

32、 命令還沒有關(guān)閉的情況下看到的。加黑的地方可以看到,兩私網(wǎng)可以相互,另外每發(fā)往遠(yuǎn)端私網(wǎng)的數(shù)據(jù)都被經(jīng)過 GRE 的封裝,然后從指定源端口地址:10.1.1.1 發(fā)往指定目的端口:192.2.2.1。2.6 FAQQ:報(bào)文通過 Tunnel 從本私網(wǎng)到達(dá)遠(yuǎn)端私網(wǎng),經(jīng)過多少次封裝過程?A:報(bào)文在 Tunnel 中傳輸包括加封裝與解封裝兩個(gè)過程。Q:系統(tǒng)收到數(shù)據(jù)報(bào)文后,GRE 怎樣處理然后轉(zhuǎn)發(fā)?A:系統(tǒng)收到的需要封裝和路由的數(shù)據(jù)報(bào)稱為凈荷(Payload),凈荷首先被加上 GRE 封裝,成為 GRE 報(bào)文;再被封裝在 IP 報(bào)文中,這樣 IP 層就可以完全負(fù)責(zé)此報(bào)文的轉(zhuǎn)發(fā)(forward)。負(fù)責(zé)轉(zhuǎn)發(fā)的

33、 IP 協(xié)議被稱為傳輸協(xié)議( Delivery ProtocolProtocol)?;蛘?Transport配置參考2.72.7.1端口配置1. 配置 RTAsystem-viewRTAerface loack 0RTA-Loack0ip address 1.1.1.1 255.255.255.255RTAerface ethernet 0/0RTA-Ethernet0/0ip address 10.1.1.1 255.255.255.252 RTAerface Tunnel 0Runnel0ip address 100.1.1.1 255.255.255.2522. 配置 RTBsystem

34、-viewRTBerface loack 0RTB-Loack0ip address 2.2.2.2 255.255.255.255RTBerface ethernet 0/0RTB-Ethernet0/0ip address 10.1.1.2 255.255.255.252RTBerfaerial 2/0RTB-Serial2/0ip address192.2.2.2 255.255.255.2523. 配置 RTCsystem-viewRTC erface lo ack 0 RTC-Lo ack0ip address RTC erfa erial 2/0 RTC-Serial2/0ip a

35、ddress3.3.3.3 255.255.255.255192.2.2.1 255.255.255.252RTCerface Tunnel 0RTC-Tunnel0ip address 100.1.1.2 255.255.255.2522.7.2骨干網(wǎng) IGP 配置1. 配置 RTA(1)指定 router IDRTArouter id 1.1.1.1(2)運(yùn)行 OSPFRTAospf(3)創(chuàng)建區(qū)域 0,并通告網(wǎng)絡(luò)RTA-ospf-1area 0RTA-ospf-1-area-0.0.0.0networkwork10.1.1.0 0.0.0.32. 配置 RTB(1)指定 router ID

36、RTBrouter id 2.2.2.2(2)RT運(yùn)行 OSPFpf(3)RTRTRT創(chuàng)建區(qū)域 0,并通告網(wǎng)絡(luò)pf-1area 0pf-1-area-0.0.0.0networkwork pf-1-area-0.0.0.0networkwork10.1.1.0 0.0.0.3192.2.2.0 0.0.0.33. 配置 RTC(1)指定 router IDRTCrouter id 3.3.3.3(2)運(yùn)行 OSPFRTCospf(3)創(chuàng)建區(qū)域 0,并通告網(wǎng)絡(luò)RTC-ospf-1area 0RTC-ospf-1-area-0.0.0.0network 192.2.2.0 0.0.0.32.7.3

37、GRE 配置1. 配置 RTA(1)R指定隧道源端口unnel0source 10.1.1.1(2)R指定隧道目的端口unnel0destination 192.2.2.1(3)配置隧道路由RTAip route-sic 3.3.3.3 255.255.255.255 Tunnel 02. 配置 RTC(1) 指定隧道源端口RTC-Tunnel0source 192.2.2.1(2) 指定隧道目的端口RTC-Tunnel0destination 10.1.1.1(3) 配置隧道路由RTCip route-sic 1.1.1.1 255.255.255.255 Tunnel 0 說明:由于隧道協(xié)

38、議默認(rèn)為 GRE,因此在這令不需要配置 tunnel-protocol gre 命第3章 IPSec 配置指導(dǎo)3.1組網(wǎng)及業(yè)務(wù)描述圖3-1在 RTA 和 RTC 之間建立一個(gè)安全隧道,對(duì) RTA 上的 LookBack 地址與 RTC上的 Loack 地址之間的數(shù)據(jù)流進(jìn)行安全保護(hù)。安全協(xié)議采用 ESP 協(xié)議,加密算法采用 DES,驗(yàn)證算法采用 SHA1-HMAC-96。3.2命令行列表表3-1操作版本命令在系統(tǒng)視圖下,創(chuàng)建一個(gè)高級(jí)控制列表VRP 3.30VRP 3.40acl number acl-number match-order config | auto VRP 5.10acl num

39、ber acl-number match-order config | auto 在 ACL 視圖下,配置控制規(guī)則VRP 3.30rule rule-id permit | deny protocol sourour-addrsour-wildcard | any destinationdest-addr dest-mask | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code precedence precedence tos tos

40、 time-range time-name logging fragment -instance-instance-name VRP 3.40rule rule-id permit | deny protocol sourour-addrsour-wildcard | any destinationdest-addr dest-mask | any precedence precedence tos tos time-range time-name logging fragment -instance操作版本命令-instance-name VRP 5.10rule rule-id permi

41、t | deny protocol sourour-addrsour-wildcard | any destinationdest-addr dest-wildcard | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-type icmp-code precedence precedence tos tos time-range time-name logging fragment -instance-instance-name 創(chuàng)建或修改安全提議并進(jìn)入安全提議

42、視圖VRP 3.30VRP 3.40ipsec proal proal-nameVRP 5.10ipsec proal proal-name設(shè)置安全提議采用的安全協(xié)議VRP 3.30VRP 3.40transform ah | esp | ah-esp |p |p |p VRP 5.10transform ah | esp | ah-esp |p |p |p 設(shè)置 ESP 協(xié)議采用的加密算法VRP 3.30VRP 3.40esp encryption-algorithm 3des |des | aes VRP 5.10esp encryption-algorithm 3des |des | a

43、es 設(shè)置 ESP 協(xié)議采用的驗(yàn)證算法VRP 3.30VRP 3.40esp authentication-algorithm md5| sha1 VRP 5.10esp authentication-algorithm md5| sha1 設(shè)置 AH 協(xié)議采用的驗(yàn)證算法VRP 3.30VRP 3.40ah authentication-algorithm md5 |sha1 VRP 5.10ah authentication-algorithm md5 |sha1 配置封裝模式VRP 3.30VRP 3.40encapsulation-mode transport |tunnel VRP 5

44、.10encapsulation-mode transport |tunnel 創(chuàng)建安全策略并進(jìn)入安全策略視圖VRP 3.30VRP 3.40ipsec policy policy-nameseq-number isakmp templatetemplate-name |manualVRP 5.10ipsec policy policy-nameseq-number manual | isakmp 配置安全策略的訪問控制列表VRP 3.30VRP 3.40security acl acl-number3.3 配置流程圖操作版本命令VRP 5.10security acl acl-number在

45、安全策略中應(yīng)用安全提議VRP 3.30VRP 3.40proal proal-name1 proal-name2. proal-name6 VRP 5.10proal proal-name1 proal-name2. proal-name6 配置隧道的本端地址VRP 3.30VRP 3.40tunnel local ip-addressVRP 5.10tunnel local ip-address配置隧道的對(duì)端地址VRP 3.30VRP 3.40tunnel remote ip-addressVRP 5.10tunnel remote ip-address配置安全的 SPIVRP 3.30VR

46、P 3.40sa spi inbound | outbound ah |esp spi-numberVRP 5.10sa spi inbound | outbound ah |esp spi-number配置協(xié)議的認(rèn)證密鑰(以字符串方式輸入)VRP 3.30VRP 3.40sa string-key inbound | outbound ah | esp string-keyVRP 5.10sa string-key inbound | outbound ah | esp string-key配置協(xié)議的認(rèn)證密鑰(以16 進(jìn)制方式輸入)VRP 3.30VRP 3.40sa authenticat

47、ion-hex inbound |outbound ah | esp hex-keyVRP 5.10sa authentication-hex inbound |outbound ah | esp hex-key配置 ESP 協(xié)議的加密密鑰(以 16 進(jìn)制方式輸入)VRP 3.30VRP 3.40sa encryption-hex inbound |outbound esp hex-keyVRP 5.10sa encryption-hex inbound |outbound esp hex-key在接口上應(yīng)用安全策略或安全策略組VRP 3.30VRP 3.40ipsec policy poli

48、cy-nameVRP 5.10ipsec policy policy-name圖3-2配置步驟3.4(1)配置 ACL在系統(tǒng)視圖下,創(chuàng)建高級(jí) ACL,指定加密數(shù)據(jù)的范圍;配置 ACL配置靜態(tài)路由配置安全提議選擇隧道封裝協(xié)議選擇安全協(xié)議選擇算法 創(chuàng)建安全策略ACL 及安全提議設(shè)置對(duì)端地址設(shè)置本端地址設(shè)置 SPI設(shè)置密鑰相應(yīng)端口上應(yīng)用安全策略組(2)配置靜態(tài)路由在系統(tǒng)視圖下,為兩邊 Loack 地址建立連通性配置靜態(tài)路由。(3)配置安全提議系統(tǒng)視圖下創(chuàng)建安全提議,并命名安全提議。(4)選擇隧道封裝協(xié)議安全提議視圖下,選擇隧道協(xié)議:傳輸模式或隧道模式。默認(rèn)為隧道模式。(5)選擇安全協(xié)議安全提議視圖下

49、,選擇安全協(xié)議:ESP 或AH。默認(rèn)為 ESP。(6)選擇算法同樣在安全提議視圖下,選擇加密算法及認(rèn)證算法。(7)創(chuàng)建安全策略系統(tǒng)視圖下,創(chuàng)建安全策略并選擇協(xié)商方法為 Manual。(8)ACL 及安全提議安全策略視圖下ACL 及安全提議。(9)設(shè)置對(duì)端地址安全策略視圖下設(shè)置對(duì)端地址。對(duì)端地址為接收方的物理地址。(10) 設(shè)置本端地址安全策略視圖下設(shè)置本端地址。本端地址為發(fā)送方的物理地址。(11) 設(shè)置 SPI安全策略視圖下設(shè)置 SPI。設(shè)置 inbound 和 outbound 兩個(gè)方向安全的參數(shù)。在安全隧道的兩端設(shè)置的安全參數(shù)必須是完全匹配的。本端的入方向安全的 SPI 必須和對(duì)端的出方向

50、安全的 SPI 一樣;本端的出方向安全的 SPI 必須和對(duì)端的入方向安全的 SPI 一樣。(12) 配置安全使用的密鑰請(qǐng)?jiān)诎踩呗砸晥D下配置密鑰。此配置任務(wù)僅用于 manual 方式的安全策略,用如下命令手工輸入安全的密鑰。對(duì)于采用 isakmp 協(xié)商方式的安全策略,無需手工配置密鑰,IKE 將自動(dòng)協(xié)商安全(13) 在接口上應(yīng)用安全策略組的密鑰。此配置任務(wù)將安全策略組應(yīng)用到接口,從而實(shí)現(xiàn)對(duì)流經(jīng)這個(gè)接口的不同的數(shù)據(jù)流進(jìn)行不同的安全保護(hù)。如果所應(yīng)用的安全策略是手工方式建立安全,會(huì)立即生成安全。如果所應(yīng)用的是自動(dòng)協(xié)商方式的安全,不會(huì)立即,只有當(dāng)符合某 IPSec 安全策略的數(shù)據(jù)流從該接口外出時(shí),才建

51、立安全會(huì)觸發(fā) IKE 去協(xié)商 IPSec 安全。3.5結(jié)果驗(yàn)證(1)打開 debug 信息并通過命令觸發(fā) Debug 信息;-a 3.3.3.3 1.1.1.11.1.1.1: 56 data bytes, press CTRL_C to break*0.1749201 RTCReply from*0.1749260 RTC*0.1749350 RTCReply from*0.1749440 RTCReply from*0.1749530 RTC*0.1749610 RTCReply from*0.1749700 RTCReply from*0.1749780 RTC*0.1749850 RT

52、CIPSEC/8/DBG:- Send IPSec packet -1.1.1.1: bytes=56 Sequence=1 ttl=255 time=44 ms IPSEC/8/DBG:Tunnel mode. Adding outer IP header succeed! IPSEC/8/DBG:Src:192.2.2.1 Dst:10.1.1.1 SPI:54321(0 x0000d431)1.1.1.1: bytes=56 Sequence=2 ttl=255 time=44 msIPSEC/8/DBG:New ESP(RFC2406) Enc Alg:DES Aulg:HMAC-SH

53、A1-961.1.1.1: bytes=56 Sequence=3 ttl=255 time=44 ms IPSEC/8/DBG:Authentication finished! New ESP(RFC2406) IPSEC/8/DBG:Encryption finished! New ESP(RFC2406) SN:16 1.1.1.1: bytes=56 Sequence=4 ttl=255 time=44 msIPSEC/8/DBG:Now send it to IP output pros.1.1.1.1: bytes=56 Sequence=5 ttl=255 time=44 msI

54、PSEC/8/DBG:- Receive IPSeP) packet -IPSEC/8/DBG:Src:10.1.1.1 Dst:192.2.2.1 SPI:12345(0 x00003039)- 1.1.1.1sistics -5 packet(s) transmitted5 packet(s) received*0.1749940 RTCIPSEC/8/DBG:New ESP(RFC2406) Enc Alg:DES Aulg:HMAC-SHA1-960.00% packet lossround-trip min/avg/max = 44/44/44 ms*0.1750030 RTC IP

55、SEC/8/DBG:ESP new input: Authentication succeed!*0.1750110 RTC IPSEC/8/DBG:Decryption succeed!*0.1750170 RTC IPSEC/8/DBG:Tunnel mode.Src:1.1.1.1Dst:3.3.3.3 說明:兩網(wǎng)絡(luò)可以相互通,并通過 Debug 信息可以清楚看到,數(shù)據(jù)在傳輸時(shí)所經(jīng)過的封裝以及解封裝的過程。(2)另外也可以通過使用 display ipsec policy 查看策略信息display ipsec policy=IPsec Policy Group: policy1Usin

56、gerface: Serial2/0=IPsec policy name: policy1 sequence number: 1mode: manualsecurity data flow : 3000tunnel local address: 192.2.2.1 tunnel remote address: 10.1.1.1proal name:tran1inbound AH setting:AH spi:AH string-key:AH authentication hex key: inbound ESP setting:ESP spi: 12345 (0 x3039)ESP strin

57、g-key: abcde ESP encryption hex key:ESP authentication hex key: outbound AH setting:AH spi:AH string-key:AH authentication hex key: outbound ESP setting:ESP spi: 54321 (0 xd431)ESP string-key: edcba ESP encryption hex key:ESP authentication hex key:3.6FAQQ:IPSec 有兩個(gè)安全協(xié)議,分別是什么?他們之間不同?A:IPSec 通過 AH(Au

58、thentication Header,認(rèn)證頭)和 ESP(Encapsulating Security Payload,封裝安全載荷)這兩個(gè)安全協(xié)議來實(shí)現(xiàn)上述目標(biāo)。AH 是報(bào)文頭驗(yàn)證協(xié)議,主要提供的功能有數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能;然而,AH 并不加密所保護(hù)的數(shù)據(jù)報(bào)。ESP 是封裝安全載荷協(xié)議,它除提供 AH 協(xié)議的所有功能之外(但其數(shù)據(jù)完整性校驗(yàn)不包括 IP 頭),還可提供對(duì) IP 報(bào)文的加密功能。Q:IKE 到底是什么協(xié)議?是不一定要與 IPSec 一齊使用?A:IKE 用于協(xié)商 AH 和 ESP 所使用的算法,并將算法所需的必備密鑰放到恰當(dāng)位置。IKE 協(xié)商并不是必須的

59、,IPSec 所使用的策略和算法等也可以手工協(xié)商。3.7附加任務(wù)參加操作手冊(cè),IPSec 組合 IKE 實(shí)現(xiàn)RTA 和 RTC 之間建立一個(gè)安全隧道,對(duì)RTA 上的 LookBack 地址與 RTC 上的 Loack 地址之間的數(shù)據(jù)流進(jìn)行安全保護(hù)。安全協(xié)議采用 ESP 協(xié)議,加密算法采用 DES , 驗(yàn)證算法采用SHA1-HMAC-96。3.8配置參考3.8.1端口配置1. 配置 RTAsystem-view RTAerface loack 0RTA-Loack0ip address 1.1.1.1 255.255.255.255 RTAerface ethernet 0/0RTA-Ether

60、net0/0ip address 10.1.1.1 255.255.255.2522. 配置 RTBsystem-viewRTBerface loack 0RTB-Loack0ip address 2.2.2.2 255.255.255.255RTBerface ethernet 0/0RTB-Ethernet0/0ip address 10.1.1.2 255.255.255.252RTBerfaerial 2/0RTB-Serial2/0ip address192.2.2.2 255.255.255.2523. 配置 RTCsystem-viewRTCerface loack 0 RTC-

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論